VNX : L’analyse Qualsys détecte le QID 38738 - Clé publique du serveur SSH trop petite
Summary: VNX : L’analyse Qualsys détecte le QID 38738 - Clé publique du serveur SSH trop petite (corrigible par l’utilisateur)
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
L’analyse Qualsys détecte le QID suivant :
QID 38738 - SSH Server Public Key Too Small :
"THREAT : Le protocole SSH (Secure Shell) est une méthode de connexion à distance sécurisée d’un ordinateur à un autre. Le serveur SSH utilise une petite clé publique. Les bonnes pratiques exigent que les signatures numériques RSA soient de 2 048 bits ou plus pour assurer une sécurité adéquate. Les longueurs de clé de 1024 sont acceptables jusqu’en 2013, mais depuis 2011, elles sont considérées comme obsolètes. Pour plus d’informations, reportez-vous à la publication spéciale NIST 800-131A (http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-131Ar1.pdf).
Seules les clés de serveur qui ne font pas partie d’un certificat sont signalées dans ce QID. Les certificats OpenSSH utilisant des clés courtes sont signalés dans le QID 38733. Les certificats X.509 utilisant des clés courtes sont signalés dans le QID 38171.
SOLUTION : Les clés DSA et RSA de moins de 2 048 bits sont considérées comme vulnérables. Il est recommandé d’installer une clé publique RSA d’au moins 2 048 bits ou plus, ou de passer à ECDSA ou EdDSA. »
Cause
La station pilote VNX utilise une clé RSA de 2 048 bits, mais la clé DSA est de 1 024 bits.
Resolution
En regardant les clés de la station pilote sous /etc/ssh/sshd_config nous pouvons voir que la clé publique et la clé privée RSA ont une signature de 2048 bits :
ssh-keygen -lf /etc/ssh/ssh_host_rsa_key
2048 57:4e :5e :4f :3a :94 :f6:3f :84:81:18:5c :b1:72:3b :b4 ssh_host_rsa_key.pub (RSA)
ssh-keygen -lf ssh_host_rsa_key.pub
2048 57:4e :5e :4f :3a :94 : f6:3f :84:81:18:5c :b1:72:3b :b4 ssh_host_rsa_key.pub (RSA)
Cependant, la clé DSA n’a qu’une longueur de 1024 bits :
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key
1024 2d :b9 :e3 :e0:64 :e2:5f :18:3c :8f :e5:4e :18:3a :87 :cd ssh_host_dsa_key.pub (DSA)
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key.pub
1024 2d : b9 :e3 :e0:64 :e2:5f :18:3c :8f :e5:4e :18:3a :87 :cd ssh_host_dsa_key.pub (DSA)
Les clés DSA supérieures à 1024 bits ne sont pas prises en charge, la solution consiste normalement à désactiver les clés DSA sur le serveur. Cependant, dans notre cas, cela n’est pas possible en raison de l’ancienne version d’OpenSSH exécutée sur la station pilote. L’option permettant de désactiver DSA côté serveur est HostKeyAlgorithms, et elle n’est pas présente dans la version d’OpenSSL exécutée sur la station pilote.
Cette clé n’est pas utilisée pour l’authentification client/serveur et ne peut pas être utilisée pour déchiffrer le trafic. Il sert uniquement à vérifier l’authenticité de l’hôte via known_hosts et à faciliter l’établissement de l’établissement d’une liaison initiale. Cela n’est pas considéré comme une vulnérabilité et il n’est actuellement pas prévu de mettre à niveau OpenSSL vers une version qui prendrait en charge l’option HostKeyAlgorithms. À l’heure actuelle, il n’existe aucun moyen de désactiver la clé d’hôte DSA sur le serveur SSH de la station pilote. Il n’y a donc aucun moyen d’atténuer la cause de la détection de la clé plus petite par l’analyse.
ssh-keygen -lf /etc/ssh/ssh_host_rsa_key
2048 57:4e :5e :4f :3a :94 :f6:3f :84:81:18:5c :b1:72:3b :b4 ssh_host_rsa_key.pub (RSA)
ssh-keygen -lf ssh_host_rsa_key.pub
2048 57:4e :5e :4f :3a :94 : f6:3f :84:81:18:5c :b1:72:3b :b4 ssh_host_rsa_key.pub (RSA)
Cependant, la clé DSA n’a qu’une longueur de 1024 bits :
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key
1024 2d :b9 :e3 :e0:64 :e2:5f :18:3c :8f :e5:4e :18:3a :87 :cd ssh_host_dsa_key.pub (DSA)
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key.pub
1024 2d : b9 :e3 :e0:64 :e2:5f :18:3c :8f :e5:4e :18:3a :87 :cd ssh_host_dsa_key.pub (DSA)
Les clés DSA supérieures à 1024 bits ne sont pas prises en charge, la solution consiste normalement à désactiver les clés DSA sur le serveur. Cependant, dans notre cas, cela n’est pas possible en raison de l’ancienne version d’OpenSSH exécutée sur la station pilote. L’option permettant de désactiver DSA côté serveur est HostKeyAlgorithms, et elle n’est pas présente dans la version d’OpenSSL exécutée sur la station pilote.
Cette clé n’est pas utilisée pour l’authentification client/serveur et ne peut pas être utilisée pour déchiffrer le trafic. Il sert uniquement à vérifier l’authenticité de l’hôte via known_hosts et à faciliter l’établissement de l’établissement d’une liaison initiale. Cela n’est pas considéré comme une vulnérabilité et il n’est actuellement pas prévu de mettre à niveau OpenSSL vers une version qui prendrait en charge l’option HostKeyAlgorithms. À l’heure actuelle, il n’existe aucun moyen de désactiver la clé d’hôte DSA sur le serveur SSH de la station pilote. Il n’y a donc aucun moyen d’atténuer la cause de la détection de la clé plus petite par l’analyse.
Affected Products
VNX2 SeriesProducts
VNX VG10, VNX VG2, VNX VG50, VNX VG8, VNX1 Series, VNX2 Series, VNX5200, VNX5300, VNX5400, VNX5500, VNX5600, VNX5700, VNX5800, VNX7500, VNX7600Article Properties
Article Number: 000056369
Article Type: Solution
Last Modified: 03 Mar 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.